Los investigadores de ciberseguridad han marcado una nueva campaña de phishing que utiliza mensajes de voz falsos y órdenes de compra para entregar un cargador de malware llamado Subrayador.
La campaña aprovecha «correos electrónicos cuidadosamente diseñados para entregar URL maliciosas vinculadas a las páginas de phishing convincentes», dijo la investigadora de Fortinet Fortiguard Labs, Cara Lin. «Estas páginas están diseñadas para atraer a los destinatarios a descargar archivos JavaScript que actúan como goteros para UpcryPter».
Los ataques que propagan el malware han sido principalmente sectores de fabricación, tecnología, atención médica, construcción y minorista/hospitalidad en todo el mundo desde principios de agosto de 2025. La gran mayoría de las infecciones se han observado en Austria, Bielorrusia, Canadá, Egipto, India y Pakistán, entre otras.
Upcrypter funciona como un conducto para varias herramientas de acceso remoto (ratas), como PureHVNC Rat, DCRAT (también conocido como rata Darkcrystal) y Babilon Rat, cada una de las cuales permite a un atacante tomar el control total de los huéspedes comprometidos.
El punto de partida de la cadena de infección es un correo electrónico de phishing que utiliza temas relacionados con mensajes de correo de voz y compras para engañar a los destinatarios para que haga clic en los enlaces que directamente a las páginas de destino falsas, desde donde se les solicita que descarguen el mensaje de voz o un documento PDF.
«La página del señuelo está diseñada para parecer convincente no solo mostrando la cadena de dominio de la víctima en su banner, sino también para obtener e incrustar el logotipo del dominio dentro del contenido de la página para reforzar la autenticidad», dijo Fortinet. «Su propósito principal es entregar una descarga maliciosa».
La carga útil descargada es un archivo zip que contiene un archivo JavaScript ofuscado, que posteriormente contacta a un servidor externo para obtener el malware de la próxima etapa, pero solo después de confirmar la conectividad a Internet y escanear procesos de ejecución de herramientas forenses, depuradores o entornos de sandbox.
El cargador, a su vez, contacta el mismo servidor para obtener la carga útil final, ya sea en forma de texto plano o integrado dentro de una imagen de aspecto inofensivo, una técnica llamada esteganografía.
Fortinet dijo que Upcrypter también se distribuye como un cargador MSIL (lenguaje intermedio de Microsoft) que, al igual que su contraparte de JavaScript, realiza anti-análisis y cheques de máquinas anti-virtuales, después de lo cual descarga tres cargas útiles diferentes: un script de PowerShell offuscado, una DLL y la carga útil principal.
El ataque culmina con el script que incrusta los datos del cargador DLL y la carga útil durante la ejecución, lo que permite que el malware se ejecute sin escribirlo en el sistema de archivos. Este enfoque también tiene la ventaja de minimizar las huellas forenses, lo que permite que el malware vuele por debajo del radar.
«Esta combinación de un cargador mantenido activamente, una ofuscación en capas y una entrega de ratas diversas demuestra un ecosistema de entrega de amenazas adaptable capaz de evitar las defensas y mantener la persistencia en diferentes entornos», dijo Lin.
La divulgación se produce cuando Check Point detalló una campaña de phishing a gran escala que abusa de Google Classroom para distribuir más de 115,000 correos electrónicos de phishing dirigidos a 13,500 organizaciones en múltiples industrias entre el 6 y el 12 de agosto y el 125.
«Los atacantes explotaron esta confianza enviando invitaciones falsas que contenían ofertas comerciales no relacionadas, que van desde lanzamientos de reventa de productos hasta servicios de SEO», dijo la compañía. «Cada correo electrónico ordenó a los destinatarios que contactaran a los estafadores a través de un número de teléfono de WhatsApp, una táctica a menudo vinculada a los esquemas de fraude».
El ataque pasa por alto los sistemas de seguridad porque aprovecha la confianza y la reputación de la infraestructura de Google Classroom para evitar los protocolos clave de autenticación de correo electrónico, como SPF, DKIM y DMARC, y ayuda a obtener los correos electrónicos de phishing en las bandejas de entrada de los usuarios.
Estas campañas son parte de una tendencia más amplia en la que los actores de amenaza aprovechan los servicios legítimos como Microsoft 365 Direct Send y OneNote, sin mencionar el abuso de la inteligencia artificial gratuita (AI), el constructor de sitios web con el mejor de los sitios web de Vercelio y Flazio, así como los servicios como los servicios como Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform y X) T (.
«Después de que el actor de amenaza ganó credenciales M365 de un usuario en una organización a través de un ataque de phishing, crearon un archivo OneNote en la carpeta de documentos personales del usuario comprometido en OneDrive, incrustando la URL de los señores para la próxima etapa de phishing», dijo Varonis en un informe publicado el mes pasado.
El mal uso del envío directo ha llevado a Microsoft que introduzca una opción para las organizaciones llamada «Rechazar el envío directo» para abordar directamente el problema. Alternativamente, los clientes también pueden aplicar políticas de estampado de encabezado y cuarentena personalizados para detectar correos electrónicos que afirman que son una comunicación interna pero, en realidad, no lo son.
Estos desarrollos también han sido acompañados por atacantes que dependen cada vez más de las técnicas de evasión del lado del cliente en las páginas de phishing para mantenerse a la vanguardia de los sistemas de detección automatizados y analistas humanos. Esto incluye el uso de plantillas de bloqueo basado en JavaScript, navegador en el navegador (BITB), y alojar las páginas dentro de entornos de escritorio virtuales utilizando NovNC.
«Un método notable que crece en popularidad es el uso de scripts antianálisis basados en JavaScript; pequeños pero efectivos bits de código integrados en páginas de phishing, sitios de soporte técnico falso y redirecciones maliciosas», dijo Doppel. «Una vez que se identifica dicha actividad, el sitio redirige inmediatamente al usuario a una página en blanco o desactiva una interacción adicional, bloqueando el acceso antes de que pueda ocurrir cualquier inspección más profunda».